Norma ISO/IEC 27001 aplicada a una carrera universitaria

UNIVERSIDAD ANDRES BELLO Facultad de Ingeniería

NORMA ISO/IEC 27001 APLICADA A UNA CARRERA UNIVERSITARIA

Tesis de pregrado para optar al título de Ingeniero Civil Informático.

Autor: Daniel J. A. Maureira Sánchez.

Profesor tutor: Msc (C) David Ruete Z, Director Nacional de Magíster en Ingeniería Informática.

Contenido

1. Introducción ... 6

2. Motivación ... 8

3. Marco de trabajo ... 10

3.1. Identificación del problema ... 10

3.2. Descripción general del diagrama Ishikawa ... 12

3.2.1. Procesos ... 12

3.2.2. Personas ... 14

3.2.3. Tecnología ... 15

4. Objetivo general ... 18

4.1. Objetivos específicos ... 18

4.2. Definición de métricas... 19

4.3. Alcance. ... 20

4.4. Limitaciones al Alcance ... 21

5. Marco Teórico. ... 21

6. Estado del Arte. ... 47

6.1. Metodologías. ... 48

6.2. Casos de éxito en otras organizaciones. ... 54

6.3. Caso de estudio 1: Universidad de Hashemite. ... 55

6.4. Caso de estudio 2: Universidad de Simón Bolívar. ... 66

7. Enfoque Metodológico. ... 79

7.1. Gestión del Proyecto. ... 82

7.2. Propuesta de solución. ... 86

7.3. Requerimientos ... 86

8. Desarrollo del Proyecto ... 89

8.1. Soporte de la Dirección. ... 89

8.1.1. Propósito ... 89

8.1.2. Razones. ... 89

8.1.3. Objetivos del proyecto ... 90

8.1.4. Duración y Estructura del Proyecto ... 90

8.1.6. Recursos ... 91

8.1.7. Entregables ... 91

8.2. Alcance del Sistema de Gestión de la Seguridad de la Información ... 92

8.2.1. Propósito, Alcance y Usuarios ... 92

8.2.2. Definición del Alcance del SGSI ... 92

8.2.3. Análisis Diferencial ... 93

8.2.4. Requisitos de la Norma ISO/IEC 27001:2013 ... 93

8.3. Dominios, Objetivos de Control y Controles de Seguridad. ... 100

8.4. Políticas de Seguridad de la Información. ... 144

8.4.1. Propósito, Alcance y Usuarios ... 144

8.4.2. Estrategia de Seguridad de la Información ... 144

8.4.3. Objetivos de las Políticas de Seguridad ... 144

8.4.4. Definiciones ... 145

8.4.5. Políticas de Seguridad de los Activos de la Información ... 145

8.5. Metodología de análisis evaluación de riesgos y reporte de evaluación de riesgos. ... 149

8.5.1. Propósito, Alcance y Usuarios. ... 149

8.5.2. Metodología de Análisis Evaluación de Riegos y Reporte de Evaluación de Riesgos. . 149

8.5.3. Inventario de Activos ... 155

8.5.4. Valoración de activos ... 156

8.5.5. Identificación y valoraciones de amenazas ... 156

8.5.6. Identificación de amenazas ... 156

8.5.7. Controles de seguridad ... 159

8.5.8. Inventario y clasificación de activos informáticos... 160

8.5.9. Valoración de los activos de acuerdo al impacto ... 166

8.5.10. Valoración de los activos de acuerdo a las Dimensiones de Seguridad ... 170

8.6. Identificación y Valorización de Amenazas ... 178

8.6.1. Riesgo Potencial. ... 192

8.7. Declaración de Aplicabilidad. ... 198

8.7.1. Propósito, Alcance y Usuarios. ... 198

8.7.2. Aplicabilidad de Controles... 198

8.8.1. Propósito. ... 209

8.8.2. Tratamiento de riesgos ... 210

8.8.3. Aplicabilidad de los controles de seguridad. ... 210

8.9. Plan de Continuidad ... 218

8.9.1. Propósito. ... 218

8.9.2. Objetivos ... 218

8.9.3. Definiciones ... 218

8.9.4. Usuarios ... 219

8.10. Plan de Continuidad del Negocio ... 219

8.10.1. Contenido del Plan ... 219

8.10.2. Roles y Responsabilidades... 219

8.10.3. Contactos Claves ... 220

8.10.4. Activación y Desactivación del Plan ... 221

8.10.5. Comunicación ... 222

8.10.6. Sitios Físicos y de Transporte ... 222

8.10.7. Orden de recuperación de actividades ... 223

8.11. Conclusiones... 224

9. Carta Gantt ... 231

Referencias ... 232

Índice de Ilustraciones

Ilustración 2 Relaciones dentro de las áreas del Gobierno TI ... 28

Ilustración 3: Ciclo de Deming (PDCA) ... 33

Ilustración 4 Estructura del estándar ISO/IEC 27001:2013 ... 36

Ilustración 5 Dominios Anexo "A" de ISO 27001:2013 ... 41

Ilustración 6 Contexto Normativo de un SGSI ... 47

Ilustración 7 Principios de COBIT 5 - Isaca 2012 ... 49

Ilustración 8 Habilitadores de COBIT 5 ... 49

Ilustración 9 Composición de SGSI ... 57

Ilustración 10 Proceso de establecimiento de la seguridad ... 60

Ilustración 11 ISO 31000 Evaluación de riesgos ... 62

Ilustración 12 Matriz determinación de riesgos ... 64

Ilustración 13 Esquema del análisis y evaluación de riesgos ... 70

Ilustración 14 El proceso cuantitativo. Metodología de la Investigación ... 80

Ilustración 15 : Áreas del conocimiento: PMBOK ... 85

Ilustración 16 Marco de trabajo para la gestión de riesgos (ISO 31000) ... 150

Ilustración 17 Zonas de riesgo ... 158

Ilustración 19 Carta Gantt ... 231

Índice de tablas

Tabla 2: Definición de métricas ... 19

Tabla 3 Objetivos específicos y su métrica ... 20

Tabla 4 Plan de tratamiento para los activos indicados ... 65

Tabla 5 Analisis y evaluación de riesgo ... 75

Tabla 6 Enunciado de aplicabilidad ... 77

Tabla 7 Descripción de actividades ... 90

Tabla 8 Requisitos de la Norma ISO/IEC 27001:2013. Contexto de la Organización ... 94

Tabla 9 Requisito de la Norma ISO/IEC 27001:2013. Liderazgo ... 95

Tabla 10 Requisitos de la Norma ISO/IEC 27001:2013. Planificación ... 96

Tabla 11 Requisito de la Norma ISO/IEC 27001:2013. Soporte ... 97

Tabla 12 Requisito de la Norma ISO/IEC 27001:2013. Operación ... 97

Tabla 13 Requisito de la Norma ISO/IEC 27001:2013. Evaluación del Desempeño ... 98

Tabla 14 Requisito de la Norma ISO/IEC 27001:2013. Mejora ... 98

Tabla 15 Nivel de cumplimiento de los requisitos de la Norma ISO/IEC 27001:2013 ... 99

Tabla 16 Anexo A de la Norma ISO/IEC 27001:2013 . Políticas de la Seguridad de la Información ... 101

Tabla 17 Anexo A de la Norma ISO/IEC 27001:2013. Organización de la Seguridad de la Información ... 103

Tabla 18 Anexo A de la Norma ISO/IEC 27001:2013. Seguridad de los Recursos Humanos ... 106

Tabla 19 Anexo A de la Norma ISO/IEC 27001:2013. Gestión de Activos ... 109

Tabla 20 Anexo A de la Norma ISO/IEC 27001:2013. Control de Acceso ... 113

Tabla 21 Anexo A de la Norma ISO/IEC 27001:2013. Controles Criptográficos ... 114

Tabla 22 Anexo A de la Norma ISO/IEC 27001:2013. Seguridad Física y del Entorno... 119

Tabla 23 Anexo A de la Norma ISO/IEC 27001:2013. Seguridad de las Operaciones ... 123

Tabla 24 Anexo A de la Norma ISO/IEC 27001:2013. Seguridad de las Operaciones ... 125

Tabla 25 Anexo A de la Norma ISO/IEC 27001:2013. Seguridad de las Comunicaciones ... 128

Tabla 26 Anexo A de la Norma ISO/IEC 27001:2013. Adquisición, Desarrollo y Mantenimiento de Sistemas. ... 132

Tabla 27 Anexo A de la Norma ISO/IEC 27001:2013. Relaciones con los Proveedores ... 134

Tabla 28 Anexo A de la Norma ISO/27001:2013. gestión de Incidentes de Seguridad de la Información. ... 137

Tabla 29 Anexo A de la Norma ISO/IEC 27001:2013. Aspectos de Seguridad de la Información de la Gestión de la Continuidad del Negocio ... 138

Tabla 30 Anexo A de la Norma ISO/IEC 27001:2013. Cumplimiento ... 141

Tabla 31 Nivel de Cumplimiento de los Dominios de Control de la Norma ISO/IEC 27001:2013. ... 142

Tabla 32 Dimensiones de Seguridad para la Identificación y Valoración de amenazas en MAGERIT ... 154

Tabla 33 Clasificación de los tipos de activos informáticos en MAGERIT ... 156

Tabla 34 Catálogo de amenazas sobre los activos informáticos en MAGERIT ... 157

Tabla 35 Probabilidad o Frecuencia de ocurrencia de las amenazas en MAGERIT ... 157

Tabla 36 Estimación cualitativa del riesgo ... 159

Tabla 37 Protecciones sobre los activos informáticos en MAGERIT... 159

Tabla 38 Activos informáticos ... 161

Tabla 39 Valoración cualitativa de los activos informáticos de MAGERIT ... 166

1. Introducción

La información es un valioso activo del que depende el buen funcionamiento de una organización, mantener su integridad, confidencialidad y disponibilidad es esencial para alcanzar los objetivos del negocio (Agesic, 2012) (Inteco, 2014), por esta razón desde ya mucho tiempo las organizaciones han puesto los medios necesarios para evitar el robo y manipulación de sus datos. En la actualidad el desarrollo de las nuevas tecnologías ha dado un giro radical a la forma de hacer negocios, a la vez que han aumentado el riesgo para las empresas que se exponen a nuevas amenazas. Lamentablemente es relativamente fácil utilizar herramientas que dan acceso a los datos protegidos a personas inescrupulosas, las cuales con poco esfuerzo y conocimiento provocan grandes perjuicios a la organización. Como sabemos la mayor parte de la información reside en equipos que cumplen las tareas de soporte de almacenamiento, redes de datos y servidores, estos conjuntos se conocen bajo el nombre de sistema de información. Estos sistemas están sujetos a riesgos y amenazas que pueden generarse desde dentro de la propia organización o desde el exterior, además existen riesgos físicos tales como incendios, inundaciones, terremotos, robo directamente de estos equipos, los cuales afectarían a la disponibilidad de la información y de los recursos de la organización, provocando una interrupción en la continuidad de la operación normal del negocio (Inteco, 2014). Por otra parte, también encontramos los riesgos lógicos, los cuales están relacionados con la propia tecnología y que van en aumento día a día. Robos de identidad, spam, virus, espionaje industrial entre otros pueden acabar con la confianza de los clientes o interesados y con la imagen de la organización.

nacional chileno miembro de ISO es el INN (Instituto de Nacional de Normalización), quienes participan en el desarrollo de estándares a través de comités técnicos. El INN está constituido como una fundación de derecho privado sin fines de lucro, creada por CORFO (Corporación de Fomento de la Producción) en el año 1973, como organismo técnico en materias de la infraestructura de calidad. El INN es el continuador legal del INDITECTOR (Instituto Nacional de Investigaciones Tecnológicas y Normalización), creado en 1944. El organismo aspira a ser el referente en el país en materia de calidad, contribuyendo al fortalecimiento de los componentes de la calidad para mejorar la competitividad de los diversos sectores productivos y la calidad de vida de la sociedad, con énfasis en aquellos sectores priorizados por las políticas públicas de Chile. El INN representa al país en los distintos organismos y foros, que dicen relación con los componentes de la infraestructura de la calidad, en el ámbito internación, regional y subregional. En el ámbito de la normalización, el INN es uno de los 25 países fundadores de la ISO, organismo del cual se es parte ininterrumpida desde su fundación en el año 1947.

El estándar internacional ISO27001 es un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI (Sistema de Gestión de Seguridad de la Información), la revisión más reciente de esta norma fue publicada en 2013 y la primera revisión se publicó en el año 2005, la cual fue desarrollada en base a la norma británica BS 7799-2 (British Standars Institution).

La adopción de un SGSI debe ser una decisión estratégica para la organización. El diseño e implementación es directamente influenciado por las necesidades y objetivos, requerimientos de seguridad, procesos y la estructura y tamaño de la organización. De esta forma la finalidad del SGSI es garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos y gestionados por la organización de manera documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

en que se realizan las tareas. Es importante destacar que el SGSI debe formar parte de la organización y también de la estructura de gestión general.

2. Motivación

Con este trabajo el alumno pretender plantear las fortalezas y las falencias a la que están expuestos los datos y la información perteneciente a la Universidad, administrativos, académicos y estudiantes, con motivo de entregar y asegurar que se minimicen las vulnerabilidades y riesgos que se pueden presentar. Esto aumenta cada año a medida que el número de los estudiantes crece, se torna cada vez más difícil la gestión, orden y resguardo de los datos, esto afecta directamente a la continuidad de las actividades que realiza nuestra Universidad, es por este motivo que los encargados del resguardo de estos activos deben tomar conciencia sobre la evaluación, análisis y tratamiento del nivel de riesgo, lo cual permitirá no tener sorpresas inesperadas y en caso de que ocurran llevarlos a valores aceptables (Pessolani, 2007). Además, el almacenamiento y el recurrente uso de estos datos deben estar actualizados y seguros. Es así como también se debe tener un especial cuidado con respecto a los documentos generados impresos o electrónicos, los cuales deben ser almacenados de forma segura para evitar que su contenido se revele, manipule o se altere ya que esto puede afectar directamente a la institución tanto a nivel de imagen pública o confianza antes sus alumnos, dañando la credibilidad de la Universidad en relación al manejo de la información o incluso puede llegar dañar la legitimidad en cuanto a la validez de los títulos obtenidos por sus estudiantes.

Gráfico 1 Cantidad de alumnos matriculados por año en la UNAB

En donde los datos se detallan en la siguiente tabla (Unab, 2016):

Año Vacantes Cupos Postulantes Seleccionados Matriculados

Postulaciones Totales

2012 2.115 3.563 5.857 2.263 1.262 8.798

2013 2.173 3.770 6.837 2.760 1.722 10.405

2014 2.005 3.823 6.533 2.851 1.898 9.940

2015 2.080 2.870 5.419 2.405 1.545 7.836

Tabla 1 Detalle de matriculados por año en la UNAB

Y si estos datos los proyectamos podemos considerar que a 4 años más la cantidad de alumnos por año aumentara en aproximadamente en 800 alumnos por año, es así como cada vez el sistema de información se tornará más crítico.

diseño y finalidad principal es dar respuesta de forma integral a las múltiples necesidades inherente a la vida de la Universidad en cuanto a la seguridad de la información que este maneja.

Los beneficios después de establecer un SGSI siguiendo la norma ISO27001 son básicamente la reducción de riesgos debido al establecimiento y seguimiento de controles sobre ellos, con esto se reducen las amenazas hasta alcanzar un nivel asumible por la organización, de este modo si se produce una incidencia, los daños se minimizan y la continuidad del negocio está asegurada. En segundo lugar, se produce un ahorro de costos derivado de una racionalización de los recursos, se eliminan las inversiones innecesarias e ineficientes como las producidas por desestimar o sobreestimar riesgos. Luego entonces la seguridad se considera un sistema y se convierte en una actividad de gestión, la seguridad deja de ser un conjunto de actividades organizadas y se transforma en un ciclo metódico y controlado en el que participa toda la organización. Por otra parte, la organización se asegura del cumplimiento de la legislación vigente y se evitan riesgos o costos innecesarios, la entidad se asegura del cumplimiento del marco legal que protege a la organización de aspectos que probablemente no se habían tenido en cuenta anteriormente.

3. Marco de trabajo

El desarrollo de este trabajo de tesis se centra en el ámbito educacional de la Universidad Andrés Bello con la finalidad de proponer una certificación de la carrera universitaria de Ingeniería en Telecomunicaciones de la sede de Antonio Varas, ubicada en la comuna de Providencia, Santiago de Chile y concluir el estudio de pre-grado de Ingeniería Civil Informática para optar al título profesional.

3.1. Identificación del problema

automatización, sin embargo, los procesos automatizados deben convivir con los procesos manuales, con la meta de llevar una mejor gestión de la información.

Para entender el problema, se debe tener en cuenta el volumen de datos que se registra diariamente en la universidad y la cantidad de administrativos que la utilizan, donde un simple desperfecto o ataque puede originar daños catastróficos cuando no se cuenta con acciones que mitiguen el impacto de un eventual suceso de este tipo. La Universidad debe ser capaz de proveer a sus diferentes áreas, información sobre la cual se toman decisiones, para lograr esto se debe contar con controles eficaces que lo permitan. Estos controles deben apuntar a evitar ciertas situaciones, las cuales suceden a menudo en las organizaciones. En la actualidad no solo ha cambiado la forma en que se llevan a cabo los ataques informáticos, sino que también han cambiado las motivaciones. Antiguamente el propósito era tener fama o destruir sin embargo hoy se busca dinero y datos personales, información valiosa. Se debe tener en cuenta que una Universidad posee bastante información relacionada a sus alumnos, administrativos entre otros que pueden ser de utilidad para un atacante.

Por otra parte, el Estado de Chile ha emitido normas relacionadas a la gestión de los riesgos de operación, gestión de seguridad de información y continuidad del negocio que pretenden ser una guía para las organizaciones, las cuales comprometen fondos y esfuerzos por llevar la tarea de regularizar el manejo de la información a la normativa actual, la cual está basada en el estándar internacional ISO 27001 (ISO/IEC, 2013).

Con estos antecedentes, se presenta un diseño de un Sistema de Gestión de Seguridad de Información, alineado a lo exigido por la norma de gestión de seguridad de información actualmente en Chile y que podrá ser usado por diversas carreras de la Universidad.

Ilustración 1: Diagrama Ishikawa

3.2. Descripción general del diagrama Ishikawa

3.2.1. Procesos

tanto la especificación del cumplimiento de la norma que se pretende medir o establecer. Estos procesos se pueden encontrar no definidos o tal vez incompletos, provocando falencias para asegurar la información en nuestra organización. Sin embargo, hablar de procedimientos y procesos se tiende a pensar que es una tarea engorrosa, tanto en la implementación de procesos como en el uso que posteriormente se dé al sistema de gestión que va a operar sobre estos procesos. Es por eso que el alcance del proyecto debe ser acotado, para que luego del cumplimiento de la meta, se pueda extender a otras áreas de la organización.

•

Ausencia de Documentación

Es poco probable que la organización cuente con documentación, generalmente un mínimo de lo que efectivamente se necesita tener documentado. En algunos casos generar documentación de los procesos se considera como pérdida de tiempo y no se asocia a un estado de madurez por parte de la organización, en donde la idea principal es permitir que cualquier persona que se la encargada de desarrollar o llevar a cabo tareas pueda siempre obtener el mismo resultado. Se debe tener en cuenta que siempre la visión y entendimiento de los procesos de la organización permite generar y mantener controles que permiten mantener una menor probabilidad de los riesgos, fallas o incidentes.

•

Ausencia de Roles y Responsabilidades

•

Falta de planes de contingencia

En general la norma ISO 27001 tiene el objetivo de establecer y desarrollar los planes de contingencias y continuidad frente a riesgos y fallas, los cuales describen los diferentes pasos que debe seguir la organización para recuperarse cuando estos ocurran. Si la organización no se rige bajo la norma Chilena de la ISO 27001 entonces se puede entender que no tiene planes elaborados de contingencia.

3.2.2. Personas

Uno de los activos primordiales de cualquier organización son las personas y estas son parte importante de cualquier certificación ya que estas realizan actividades específicas y teniendo los roles bien definidos permiten mantener con vida la organización. Es importante considerar la formación e inducción de las personas en los inicios del proyecto ya que esto toma tiempo y recursos.

•

•

Falta de Capacitación

En general la falta de capacitación tanto a nivel de usuario como a nivel técnico en los grupos de trabajo provoca descoordinación y hasta cierto punto un descontrol que finalmente puede terminar en posibles riesgos, de los cuales si la organización no posee un plan de contingencia va a desencadenar en una falla. Si llegase a ocurrir esto, se da por entendido que la organización no se ha encargado de transmitir el conocimiento o en muchos casos se comprueba que el personal no conoce los procedimientos, esto directamente va ligado a un incumplimiento grave de la norma lo cual también puede llevar a la organización a un riesgo que no es necesario tomar. Además, es necesario identificar los roles adecuados que puede cumplir cada persona, se deben considerar aptitudes, nivel de estudios, entre otros.

•

Manipulación de Información

Generalmente se piensa que los virus y hackers son quienes ponen en riesgo la información, sin embargo, el descuido de las personas y el uso inadecuado de la información puede causar mucho daño. Es así como las medidas de seguridad requieren aún más que un buen actuar, necesitan un cambio de actitud y de comportamiento de las personas.

En Chile, cualquier persona que tenga acceso a información privilegiada tanto de la organización como información personal de otros individuos tiene la responsabilidad de mantener el resguardo adecuado de la seguridad de estos datos (Subsecretaria de preveción del delito, 2015).

•

Falta de confidencialidad

La información sólo ha de estar disponible para aquellos usuarios del sistema que tengan las autorizaciones necesarias para acceder a la información. El sistema debe ser capaz de controlar los permisos para no perder el control en favor de un usuario malicioso el cual puede comprometer la seguridad de la información. Esta información debe ser solo para uso específico al que se ha destinado y no a ser revelada o diseminada de alguna forma privada o pública a ninguna compañía, firma, terceras personas (Chile, 2014).

3.2.3. Tecnología

La tecnología es uno de los aspectos importantes al momento de generar un cambio en la organización, ya que resulta difícil tratar de implementar una certificación de seguridad en la que no sea necesario invertir en. Es necesario considerar este punto desde los inicios del estudio ya que los costos asociados generalmente no son bajos. Actualmente toda la tecnología de comunicaciones esta soportada por redes IP, por lo que es importante tener disponibilidad y con respecto a este ámbito de disponibilidad se debe considerar cuatro aspectos importantes, datos, aplicaciones, equipamiento y redes, en donde para cada aspecto se debe procurar la seguridad. Se tiene que recordar que no solo se soluciona la seguridad de un sistema implementando nuevo equipamiento, sino que, también se debe mantener.

Lamentablemente no en todos los casos se puede contar con la disponibilidad de los datos y esta es una característica importante, la disponibilidad de los datos se debe procurar ya que una interrupción puede afectar de forma al funcionamiento normal de la organización.

Los respaldos siempre son una oportunidad para reestablecer información que por equivocación o por mala intención se ve comprometida ya sea por modificaciones o directamente por que se borra. En organizaciones como una Universidad es muy recomendable contar con respaldos incrementales y totales ya que la información en este tipo de organizaciones va variando y aumentando día a día. Existen muchos mecanismos de seguridad que permiten contrarrestar la amenaza de acceso indiscriminado a los datos de la organización. Contar con acceso a información sensible y de forma indiscriminada genera consecuencias que terminan en delitos, fraudes o lo más probable de todo en errores y omisiones.

•

Redes

•

Equipamiento

4. Objetivo general

Aplicar la norma ISO27001 en la carrera universitaria de Ingeniería en Telecomunicaciones de la Universidad Andrés Bello, con la finalidad de proponer un diseño de SGSI para asegurar el cumplimiento de la auditabilidad, disponibilidad, confidencialidad e integridad de la información.

4.1. Objetivos específicos

• OE1: Realizar un análisis de la situación actual acorde a los dominios y objetivos de control de la norma ISO/IEC 27001:2013.

• OE2: Realizar un estudio de análisis y evaluación del riesgo identificando los activos y recursos que se deben proteger y que inciden en las actividades críticas de la institución bajo una metodología de evaluación sistemática

• OE3: Definir las políticas de seguridad de la información que estén acorde a los procesos, lineamientos y requerimientos institucionales.

4.2. Definición de métricas.

Nombre Definiciones Indicador Periodicid

ad

Nivel de cumplimiento de

los requisitos mínimos.

%NdC: Porcentaje de cumplimiento de los requisitos mínimos de la norma ISO/IEC 27001:2013

CrC: Cantidad de requisitos que cumple.

CtR: Cantidad total de requisitos.

%𝑁𝑑𝐶 = ∑ (𝐶𝑟𝐶 𝐶𝑡𝑅×100)

Semestral

Cumplimiento de los dominios

%CdC: Porcentaje de cumplimiento de los dominios de control.

CdqC: Cantidad de dominios que cumple.

CtD: Cantidad total de dominios.

%𝐶𝑑𝐶 = ∑ (𝐶𝑑𝑞𝐶

%PS: Porcentaje de políticas que se cumplen para los activos de

información.

CpC: Cantidad de políticas que se cumplen.

CtP: Cantidad total de políticas definidas.

%DdA: Porcentaje de cumplimiento de aplicabilidad.

CaC: Cantidad de controles de aplicabilidad que cumple.

Ctot: Cantidad de controles totales que aplican.

%𝐷𝑑𝐴 =𝐶𝑎𝐶 𝐶𝑡𝑜𝑡×100

Semestral

Objetivo

Específico

Métrica / Unidad

VAM

CEM

OE1

%NdC

31%

>40%

OE2

%CdC

27%

>40%

OE3

%PS

41%

>45%

OE4

%DdA

36%

>45%

Tabla 3 Objetivos específicos y su métrica

4.3. Alcance.

Este proyecto tiene alcances y limitaciones que permiten acotar el análisis, desarrollo y diseño de un SGSI para evaluar la aplicación de este en una carrera universitaria. Es así como el alcance de este proyecto se basa en la norma ISO/IEC 27001:2013 y está dirigido a los procesos, personas y tecnologías que conviven en una carrera universitaria, este trabajo cubrirá los aspectos a tener en cuenta en relación a estándares, procedimientos y normas que empleen tecnología que permita asegurar las principales características que debe cumplir un SGSI, los cuales son mantener la integridad, disponibilidad y confidencialidad de los activos de información en los procesos que permiten el desarrollo de la actividad, el almacenamiento y trasmisión de los datos.

Las tareas a realizar para completar el alcance son las siguientes:

• Identificar los principales riesgos que afectan actualmente al sistema de información, estudiando las principales consecuencias.

• Desarrollar un análisis de impacto de los riegos.

• Definir las políticas sobre un plan de continuidad.

4.4. Limitaciones al Alcance

Este proyecto de tesis consiste en el análisis y diseño del SGSI basado en la norma ISO 27001:2013, pero no abarca la implementación en la organización. Además, el proyecto plantea el estudio focalizado en las componentes de Procesos y Personas ya que para mejorar la componente de Tecnología se necesita de inversión por parte de la organización, inversión que actualmente no se considera para el desarrollo de este estudio.

•

Supuestos

Realizar un análisis de riegos es la actividad cuyo resultado nos va a dar información de donde residen los problemas actuales o potenciales que se deben solucionar para alcanzar el nivel de seguridad deseado. Es así como el análisis de riesgos debe identificar las amenazas que pueden comprometer los activos, la vulnerabilidad e impacto que provocan en la organización.

5. Marco Teórico.

Existen definiciones importantes que se deben considerar para comprender el desarrollo de este trabajo respecto a la seguridad de información y de los Sistemas de Gestión de la Información. En este capítulo se detalla el marco conceptual del estudio.

•

Información

Conjunto organizado de datos procesados que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. La información ya sea impresa, almacenada digitalmente o hablada, actualmente es considerada como un activo dentro de las compañías, y que se debe proteger, mediante soportes de muy distintas formas, ya que es de gran importancia. (Chang, 2011)

•

Activos de información

En este punto es importante aclarar que es un activo de información en el contexto del ISO 27001:2013, según el ISO 17799:2005 (Alexander G, 2007) que es el código de práctica para la gestión de la seguridad de información, un activo de información es:

“…algo a lo que una organización directamente le asigna un valor y, por lo tanto, la organización debe proteger”.

En donde los activos de información se clasifican en:

1. Activos de información (datos, manuales de usuario, entre otros) 2. Documentos de papel (contratos)

3. Activos de software (aplicaciones)

4. Activos físicos (Computadores, medios magnéticos entre otros) 5. Personal (clientes, usuarios)

6. Servicios (comunicaciones)

•

Gestión de Riesgos

Normalmente las organizaciones, suelen tener muy poco conocimiento del impacto que puede tener la pérdida de los activos de información o la imposibilidad para acceder a sus sistemas, esto se da en organizaciones de menor tamaño.

La gestión de los riesgos es un enfoque para manejar la incertidumbre, la posibilidad de que ocurra o no algún riesgo, con la finalidad de evitar que ocurran consecuencias no deseadas dado el riego. Para identificar estos riesgos se pueden realizar una serie de actividades para la evaluación, mitigación y medidas a tomar para manejar esta variable del riego, así controlar y reducir los efectos negativos del riesgo o en su defecto tomar conciencia del efecto que produce tener un riesgo en particular latente en cuanto a las consecuencias que este puede generar. (Donado Siler & Flechas, 2001)

•

Amenazas

Una amenaza es todo aquello, ya sea físico o lógico que puede causar un incidente no deseado, generando daños materiales o inmateriales a la organización y a sus activos, como la perdida de información, o de su privacidad, o bien un fallo en los equipos físicos. (Tupia, 2011) (UNISDR, 2009 )

Las amenazas se pueden clasificar según su tipo:

1. Amenazas naturales (inundaciones, maremotos, tsunamis, tornados, huracanes, tormentas, sismos, incendios forestales)

2. Amenazas a instalaciones (fuego, caída de energía, explosiones, daño de agua, perdida de acceso, fallas mecánicas).

3. Amenazas humanas (huelgas, epidemias, materiales peligrosos, problemas de transporte, perdida de personal claves).

4. Amenazas tecnológicas (virus, hacking, pérdida de datos, fallas de hardware, fallas de software, fallas de red)

5. Amenazas operacionales (crisis financieras, cese de abastecimiento, desorden de logística)

6. Amenazas sociales (protestas, sabotaje, vandalismo, violencia laboral, terrorismo)

•

Vulnerabilidades

Se pueden considerar como debilidades de seguridad que están relacionadas con los activos de información de la organización.

“Es una debilidad en el sistema, aplicación o infraestructura, control o diseño de flujo que puede ser explotada para violar la integridad del sistema” (Peltier, 2001)

Las vulnerabilidades también se pueden clasificar en:

2. Seguridad física y ambiental (acceso físico inadecuado a salones, oficinas y edificios, ubicación en áreas sujetas a desastres naturales, carencia de documentación para el reemplazo de equipamiento, posibles fallas al cambio de voltaje en los equipos) (Garcia & Alegre, 2011)

3. Seguridad de los recursos humanos (falta de entrenamiento en seguridad, falta de monitoreo, uso incorrecto de las telecomunicaciones, no eliminar el acceso a los términos de contrato. (Garcia & Alegre, 2011)

4. Mantenimiento, desarrollo y adquisición (falla en la protección inadecuada de llaves criptográficas, documentación pobre, selección errónea de datos para pruebas) (Garcia & Alegre, 2011).

5. Gestión de operaciones y comunicación (interfaces difíciles de entender para los usuarios, controles de cambios inadecuados, baja calidad en los mecanismos de envío y recepción de mensajes, falta de protección en redes) (Garcia & Alegre, 2011)

•

Impacto

El impacto en un activo es la consecuencia sobre éste por la ejecución de una amenaza no controlada y se puede entender como la diferencia entre la estimación del estado de seguridad del activo antes y después de la materialización de la amenaza. (Fernandez & Piattini, 2003)

•

Riesgos

El riesgo es la posibilidad de que se produzca un impacto determinado en un activo, en un dominio o en toda la organización. El nivel del riesgo depende de la vulnerabilidad y del impacto. El proceso de identificación y evaluación de riesgos y el de clasificación de activos permite determinar qué tan expuestos se encuentran los activos de información a ataques por la presencia de vulnerabilidades propias o inherentes a la actividad de la organización.

Los riesgos se pueden clasificar en:

2. Riesgo de control: existencia de un error que no puede ser detectado por parte del auditor.

3. Riesgo de detección: mal uso de procedimientos en la búsqueda de errores por parte del auditor.

4. Riesgos de negocio y otros riesgos generales propios de la auditoria.

•

Controles

Procedimientos y estructura organizacionales para reducir los riesgos y que además proveen cierto grado de certeza con respecto a lograr los objetivos del negocio.

Estos se pueden clasificar en:

1. Disuasivos: elude a las acciones establecidas por un procedimiento para evitar la acción de impacto. (cámaras de vigilancia)

2. Preventivos: detectan problemas antes de que ocurran por medio de monitoreo. (Acuerdos de servicio).

3. Detectivos: detectan y reportan problemas provocados por errores u omisiones. (Uso de antivirus).

4. Correctivos: minimizan el impacto de una amenaza ya consumada. (Planes de contingencia)

•

Seguridad de la información

En este punto hay que entender que la Seguridad TI o Seguridad Informática se ocupa de mantener la tecnología segura, entendemos por esto a los componentes en donde circulan los datos, mientras que la Seguridad de Información se ocupa de los riesgos, beneficios y procesos involucrados en la manipulación de la información dentro de la organización, independiente de cómo esta sea operada, transportada o almacenada. (Tupia, 2011)

1. Confidencialidad: Asegurando que la información seas accesible solo por aquellos que están autorizados.

2. Integridad: Salvaguardando la exactitud de la información en su procesamiento, así como su modificación autorizada.

3. Disponibilidad: asegurando que los usuarios autorizados tengan acceso a la información y a los activos asociados cuando sea requerido.

•

Política de Seguridad de Información

Son estándares aplicables a todo nivel de la organización, desde la Alta Gerencia,

pasando por los usuarios hasta el personal técnicos que velan por la salvaguarda de

los activos de información, pero buscando mantener un balance adecuado entre el

proceso de controlar (costo y esfuerzo para establecer y monitorear controles) y la

productividad (los controles no deben complicar la labor de los usuarios de TI). Son

documentos de alto nivel que revelan la filosofía corporativa y el pensamiento

estratégico de la organización.

•

Procedimientos de Seguridad de Información

Son documentos detallados que explican la manera de implementar las políticas de

seguridad previamente establecidas. Estos procedimientos declaran los procesos de

negocio y los controles integrados de cada uno de ellos, en lo referente a la seguridad

de TI; convirtiéndose en una traducción efectiva de las políticas.

•

Sistema de Gestión de Seguridad de Información (SGSI)

Estos pasos que se han descrito son las acciones que un SGSI busca instaurar en una empresa. El SGSI es una forma sistemática de administrar la información sensible de una institución, para que permanezca segura. Abarca a las personas, los procesos y las tecnologías de información. La forma total de la seguridad de la información, y la integración de diferentes iniciativas de seguridad necesitan ser administradas para que cada elemento sea completamente efectivo. Aquí es donde entra el Sistema de Gestión de Seguridad de la Información que permite coordinar esfuerzos de seguridad con mayor efectividad. (Vilena, 2006)

•

Gobierno Corporativo

El gobierno corporativo se puede entender como el proceso mediante por el cual la administración de una entidad asegura el logro sostenido de sus objetivos, así como la protección de su patrimonio y de los intereses de todos sus stakeholders, a quienes se les debe ofrecer transparencia en las prácticas de administración y control. (Fernandez & Piattini, 2003)

•

Gobierno TI

Forma parte integral del gobierno corporativo ya que hereda sus características principales, el Gobierno TI forma una estructura de relaciones y procesos que brindan dirección a la empresa con la finalidad de alcanzar los objetivos con una adecuada implementación de los procesos de TI, generando valor y logrando gestionar adecuadamente los riesgos. (Tupia, 2011). El gobierno TI es responsabilidad de la junta de directores y de la gerencia de la organización.

El gobierno TI aparece por la importancia que las tecnologías de la información generan en las empresas, tanto por la capacidad que tienen de generar valor y por el potencial de los riesgos. Existen objetivos que presenta el gobierno TI, los cuales se pueden resumir en la siguiente lista:

1. Crear valor para la organización mediante el empleo de tecnología de la información. 2. Mantener el valor creado mediante una buena administración de los riesgos relacionados

3. El propósito del gobierno TI es dirigir las iniciativas y los recursos de tecnología de la información para asegurar que:

a. Las TI estén alineadas con las estrategias de la organización y se espera que genere los beneficios que fundamentan su aplicación.

b. Las TI capaciten a la organización para aprovechar sus oportunidades y maximicen los beneficios.

c. Los recursos de TI sean utilizados de manera responsables en beneficio de la organización.

d. Los riesgos relacionados con TI sean bien administrados.

Es así como se puede afirmar la existencia de una relación directa entre el nivel de utilización de las TI y el nivel de dependencia de la empresa. (Fernandez & Piattini, 2003)

Ilustración 2 Relaciones dentro de las áreas del Gobierno TI

•

Alcance del gobierno TI

alguna manera a la alta dirección la garantía de que la infraestructura tecnológica que tiene el negocio va a permitir lograr los objetivos principales del mismo. (Tupia, 2011)

Al observar la Ilustración 2 podemos analizar los aspectos descritos:

1. Alineación estratégica, alinear la tecnología a los objetivos organizacionales, para que respondan como soportes reales.

2. Gestión de riesgos, el uso de las TI trae consigo una serie de riegos a los procesos en donde se brinda soporte. La gestión de estos riesgos permitirá identificarlos, manejarlos y reducir el impacto que presentan sobre los procesos mismos y los activos de información.

3. Entrega de valor, básicamente optimizar las inversiones de TI.

4. Gestión de recursos, se debe privilegiar el uso racional de los recursos asignados a las funciones de TI.

•

Beneficios del gobierno TI

Tener establecido un correcto gobierno TI el cual este sincronizado con el negocio, permite mantener ordenada las labores de la gerencia de sistemas o gerencia informática. Por otra parte, los beneficios más destacados de un buen gobierno TI (Isaca, Information Systems Audit and Control Association, 2012) son:

1. Confianza de la alta dirección.

2. Sensibilidad a las necesidades del negocio.

3. Aseguramiento de los retornos de las inversiones de TI. 4. Prestación de servicios más confiables.

5. Mayor transparencia en el manejo de gerencia TI.

•

Normas ISO de gestión de seguridad de información

El ISO es un organismo internacional que se dedica a desarrollar reglas de normalización en diferentes ámbitos, entre ellos de informática. El IEC es otro organismo que publica normas de estandarización en el campo de la electrónica. (Vilena, 2006).

La serie de normas ISO/IEC 27000 se denomina “Requisitos para la especificación de sistemas de gestión de la seguridad de la información (SGSI)”, proporciona un marco de estandarización para la seguridad de la información para que sea aplicado en una organización o empresa y comprende un conjunto de normas sobre las siguientes materias:

1. Sistema de gestión de la seguridad de la información. 2. Valoración de riegos.

3. Controles.

Entre las normas de la familia ISO 27000, existen las siguientes:

1. ISO/IEC 27000

Este ISO básicamente contiene una visión general de las normas de la serie y un conjunto de definiciones y términos necesarios para comprender y aplicar la serie, destacando fundamentalmente la ISO/IEC 270001 y ISO/IEC 27002 ya que sus principales objetivos son:

o Establecer un marco metodológico para un SGSI

o La adopción de control proporcionales a los riesgos percibidos

o Documentación de políticas, procedimientos, controles y riesgos de forma sistemática y metodológica.

o Generar y preservar evidencias

o Dar tratamiento a los incidentes de seguridad o Revisar y realizar la mejora continua del SGSI o Gestionar los riesgos

2. ISO/IEC 27001

Sustituye a la ISO 17799-1, abarca un conjunto de normas relacionada con la seguridad informática. Se basa en la norma BS 7799-2 de British Standard, otro organismo de normalización. Según esta norma, que es la principal de la serie, la seguridad de la información es la mantención de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento. Esta norma tiene como finalidad proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un sistema de gestión de seguridad de información (SGSI). (Consultores, 2012)

La norma ISO/ IEC 27001 promueve la adopción de un enfoque del proceso para la gestión de seguridad de la información, es decir el manejo de varias actividades interrelacionadas para transformar entradas (inputs) en resultados (outputs). Cada vez son más las organizaciones y las empresas chilenas que se adhieren a la norma, podemos observar en el siguiente gráfico el cual describe la cantidad de certificaciones por año en nuestro país:

Gráfico 2 Evolución de organizaciones que aplican en Chile la ISO/IEC 27001:2013 - ISO.org

La tendencia podemos observar que va en aumento año a año por consecuencia inferimos que cada vez las empresas u organizaciones están cada vez más preocupadas de la seguridad de la información, ya que principalmente es el activo más preciado.

Gráfico 3 Promedio de certificaciones por año en la región - Iso.org

También podemos apreciar la evolución en detalle por cada país de la región, en donde la ISO/IEC tiene conocimiento de certificaciones oficiales realizadas desde el año 2006 al año 2014.

Gráfico 4 Estadística general de certificaciones Iso27001 en la región Latinoamericana - Iso.org

15,6

Promedio desde el 2006 al 2014

Pr

Certificaciones ISO27001 en la región

Latinoamerica

Argentina Bolivia Brasil Chile Colombia Ecuador Peru

2006 2007 2008 2009 2010 2011 2012 2013 2014

Argentina 1 1 6 4 8 24 33 40 23

Evolución de certificaciones ISO/IEC 27001 en la

región Latinoamericana

Argentina Bolivia Brasil Chile

Esta norma está alineada con las normas ISO/ IEC 9001 y con la ISO/ IEC 14001 y se aplica a todos los tipos de organizaciones, grande o pequeña y de cualquier parte del mundo y está diseñada para que el SGSI asegure la selección adecuada y proporcione los controles de seguridad que protejan los activos de información y den confianza a las partes interesadas. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI).

Los requerimientos de la norma ISO/IEC 27001 son propuestos bajo el enfoque metodológico del ciclo de Deming, el cual incluye: Planificar, Hacer, Verificar y Actuar (PHVA) o su equivalente en inglés PDCA (Plan, Do, Check, Act), en donde (Corti, Betarte, & Fuente, 2005) establecen un mapeo y definiciones de las etapas exigidas por la norma 27001.

Ilustración 3: Ciclo de Deming (PDCA)

El ciclo de metodológico de Deming se compone de la siguiente forma:

• Planificar: Se establecen los objetivos y los procesos necesarios para conseguir resultados según las necesidades de los clientes y la política de seguridad de la organización.

• Verificar: Se revisan y se evalúan tanto los servicios como los procesos comparándolos con las políticas, objetivos y los requisitos de información sobre los resultados.

• Actuar: Se comienza a emprender acciones para mejorar el rendimiento del sistema de gestión de forma continua.

Ciclo PDCA Procesos

Planificar (Plan)

• Establecer el contexto: Alcance y Limites.

• Definir Política del SGSI.

• Definir Enfoque de Evaluación de Riesgos.

• Identificación de riesgos.

• Análisis y Evaluación de riesgos.

• Evaluar alternativas para el Plan de tratamiento de riesgos.

• Aceptación de riesgos.

• Declaración de Aplicabilidad.

Hacer (Do)

• Implementar plan de tratamiento de riesgos

• Implementar los controles seleccionados.

• Definir las métricas.

• Implementar programas de formación y sensibilización.

• Gestionar la operación del SGSI.

• Gestionar recursos.

• Implementar procedimientos y controles para la gestión de incidentes de seguridad.

Verificar (Check)

• Ejecutar procedimientos de seguimiento y revisión de controles.

• Realizar revisiones regulares de cumplimiento y eficacia de los controles y del SGSI.

• Medir la eficacia de los controles y verificación de satisfacción de los requerimientos de seguridad.

• Realizar auditorías internas.

• Revisión de alcance y líneas de mejoras del SGSI por la Dirección.

• Actualizar los planes de seguridad.

• Registrar acciones que podrían impactar la eficacia y/o eficiencia del SGSI.

Actuar (Act)

• Implementar las mejoras identificadas para el SGSI

• Implementar las acciones correctivas y preventivas pertinentes.

• Comunicar acciones y mejoras a todas las partes involucradas.

• Asegurarse que las mejoras logren los objetivos previstos.

La estructura de la solución se propone de la siguiente forma:

Ilustración 4 Estructura del estándar ISO/IEC 27001:2013

Descripción de las principales secciones enumeradas según la ilustración 8.

0. Introducción

El cambio más significativo en todo el apartado fue la eliminación de la sección “Enfoque del proceso” que contenía la versión 2005, en donde se describía el modelo PDCA, corazón del Sistema de Gestión de Seguridad de la Información (SGSI).

1. Alcance

2. Referencias normativas

El estándar ISO-27002 ya no es una referencia normativa para ISO-27001:2013, aunque continúa considerándose necesario en el desarrollo de la declaración de aplicabilidad (SOA, por sus siglas en inglés).

El estándar ISO 27000:2013 se convierte en una referencia normativa obligatoria y única, ya que contiene todos los nuevos términos y definiciones.

3. Términos y definiciones

Los términos y definiciones que se manejaban en 27001:2005 los trasladaron y agruparon en la sección 3 de ISO 27000:2013 “Fundamentos y vocabulario” (lo cual se llevará a cabo en todos los documentos que forman parte de esta familia), con el objetivo de contar con una sola guía de términos y definiciones que sea consistente.

4. Contexto de la organización

Esta cláusula hace hincapié en identificar los problemas externos e internos que rodean a la organización.

• Instituye los requerimientos para definir el contexto del SGSI sin importar el tipo de organización y su alcance.

• Introduce una nueva figura (las partes interesadas) como un elemento primordial para la definición del alcance del SGSI.

• Establece la prioridad de identificar y definir formalmente las necesidades de las partes interesadas con relación a la seguridad de la información y sus expectativas con relación al SGSI, pues esto determinará las políticas de seguridad de la información y los objetivos a seguir para el proceso de gestión de riesgos.

5. Liderazgo

• Garantizando que los objetivos del SGSI y “La política de seguridad de la información”, anteriormente definida como “Política del SGSI”, estén alineados con los objetivos del negocio.

• Garantizando la disponibilidad de los recursos para la implementación del SGSI (económicos, tecnológicos, etcétera).

• Garantizando que los roles y responsabilidades claves para la seguridad de la información se asignen y se comuniquen adecuadamente.

6. Planeación

Esta es una nueva sección enfocada en la definición de los objetivos de seguridad como un todo, los cuales deben ser claros y se debe contar con planes específicos para alcanzarlos.

Se presentan grandes cambios en el proceso de evaluación de riesgos:

• El proceso para la evaluación de riesgos ya no está enfocado en los activos, las vulnerabilidades y las amenazas.

• Esta metodología se enfoca en el objetivo de identificar los riesgos asociados con la pérdida de la confidencialidad, integridad y disponibilidad de la información.

• El nivel de riesgo se determina con base en la probabilidad de ocurrencia del riesgo y las consecuencias generadas (impacto), si el riesgo se materializa.

• Se ha eliminado el término “Propietario del activo” y se adopta el término “Propietario del riesgo”.

• Los requerimientos del SOA no sufrieron transformaciones significativas.

7. Soporte

Marca los requerimientos de soporte para el establecimiento, implementación y mejora del SGSI, que incluye:

• Recursos

• Personal competente

Se incluye una nueva definición “información documentada” que sustituye a los términos “documentos” y “registros”; abarca el proceso de documentar, controlar, mantener y conservar la documentación correspondiente al SGSI.

El proceso de revisión se enfoca en el contenido de los documentos y no en la existencia de un determinado conjunto de estos.

8. Operación

Establece los requerimientos para medir el funcionamiento del SGSI, las expectativas de la Alta Dirección y su realimentación sobre estas, así como el cumplimiento con el del estándar.

Además, plantea que la organización debe planear y controlar las operaciones y requerimientos de seguridad, erigiendo como el pilar de este proceso la ejecución de evaluaciones de riesgos de seguridad de la información de manera periódica por medio de un programa previamente elegido.

Los activos, vulnerabilidades y amenazas ya no son la base de la evaluación de riesgos. Solo se requiere para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad.

9. Evaluación del desempeño

La base para identificar y medir la efectividad y desempeño del SGSI continúan siendo las auditorías internas y las revisiones del SGSI.

Se debe considerar para estas revisiones el estado de los planes de acción para atender no conformidades anteriores y se establece la necesidad de definir quién y cuándo se deben realizar estas evaluaciones, así como quién debe analizar la información recolectada.

El principal elemento del proceso de mejora son las no-conformidades identificadas, las cuales tienen que contabilizarse y compararse con las acciones correctivas para asegurar que no se repitan y que las acciones correctivas sean efectivas.

Aquí se observa uno de los cambios más importantes porque las medidas preventivas se fusionarán con la evaluación y tratamiento del riesgo, algo más natural e intuitivo que permite enfrentar los riesgos y las oportunidades con base en cuándo estos se identifican y cómo se tratan. Además, se distingue entre las correcciones que se ejecutan como una respuesta directa a una “no conformidad”, en oposición a las acciones correctoras que se realizan para eliminar la causa de la no conformidad.

•

Anexos

El “Anexo A – Referencia de objetivos y controles” continúa formando parte de este estándar, pero los anexos “B” y “C” se han eliminado.

Sin ser intención de este artículo brindar una descripción completa de los cambios efectuados, se detallan algunos de los principales:

Ilustración 5 Dominios Anexo "A" de ISO 27001:2013

Lista de controles que ya no forman parte del estándar:

Control Descripción Cambia por Incluye los

controles de la

ISO 27001:2005

A.6.1.1 Comité de gestión para la seguridad de la información

Roles de la seguridad de la información y sus

responsabilidades

A.6.1.3 y A.8.1.1

A.6.1.2 Coordinación de seguridad de la información

A.6.1.4 Procesos de autorización para instalaciones para procesamiento de información

Seguridad de la información en la gestión de proyectos

A.6.2.1 Identificación de riesgos relacionados con agentes externos

Política de dispositivo móvil A.11.7.1

A.6.2.2 Direccionamiento de seguridad al tratar con clientes

Trabajo a distancia A.11.7.2

A.10.2.1 Entrega del servicio

A.10.7.4 Seguridad del sistema de documentos

A.10.8.5 Sistema de información de negocios

A.10.10.2 Seguimiento al uso de sistema

A.10.10.5 Falla en el registro

A.11.4.2 Autenticación de usuarios para conexiones externas

A.11.4.3 Identificación de equipos

A.11.4.4 Puerto remoto de diagnóstico y configuración de protección

A.11.4.6 Control para la conexión de redes

A.11.6.2 Aislamiento del sistema sensible

A.12.2.1 Validación de datos de entrada Controles contra malware A.10.4.1

A.12.2.2 Control de procesamiento interno

A.12.2.3 Integridad de mensaje

A.12.2.4 Validación de datos de salida

A.15.1.5 Prevención del uso indebido de las instalaciones para el procesamiento de información

A.15.3.2 Protección de las herramientas de auditoría de sistemas de información

•

Nuevos controles propuestos.

Control Descripción Absorbe los

controles de la ISO 27001:2005

A.6.1.4 Seguridad de la información en la gestión de proyectos

A.12.6.2 Restricciones en la instalación de software

A.14.2.1 Política de desarrollo de seguridad

A.14.2.5 Desarrollo de procedimientos para el sistema

A.14.2.6 Desarrollo de un entorno seguro

A.14.2.8 Sistema de prueba de seguridad

A.15.1.1 Información de seguridad para las relaciones de proveedores A.6.2.3

A.15.1.3 Cadena de suministro ICT

A.16.1.4 Evaluación y decisión de los eventos de seguridad de la información

A.16.1.5 Respuesta a incidentes de seguridad de la información

A.17.1.2 Implementación de la continuidad de la seguridad de la información

Esta versión refleja una mayor flexibilidad para su implementación dentro de las empresas sin importar su tamaño, así como la necesidad de adaptarse a la evolución de las tecnologías, lo que para muchos ya era inminente desde hace algunos años.

La recomendación para quienes ya poseen un SGSI implementado es considerar el apoyo de consultores con experiencia para llevar a cabo las modificaciones y dirigir los esfuerzos hacia una actualización exitosa de la norma, conforme lo dictan los requisitos. Después de todo, con la actualización de la norma el cumplimiento será más fácil de implementar con mejor flexibilidad para las empresas de cualquier tamaño.

3. ISO/IEC 27002

Esta norma se corresponde con la ISO/ IEC 17799, y que describe un código de

buenas prácticas para la gestión de la seguridad de la información y los controles

recomendables relacionados con la seguridad de la información.

Se debe tener en cuenta que la norma ISO/ IEC 27002 es una guía para conocer que

se puede hacer para mejorar la seguridad de la información, expone una serie de

apartados a tratar en relación a la seguridad, los objetivos de seguridad a perseguir,

una serie de consideraciones (controles) a tener en cuenta para cada objetivo y un

conjunto de sugerencias para cada uno de estos controles; mientras que en la norma

ISO/ IEC 27001 se habla de los controles de forma residual, no forma parte del cuerpo

principal de la norma, lo más importante en esta norma es la “gestión de la seguridad”,

en forma de Sistema de Gestión. (ISO/IEC-27002, 2010)

4. ISO/IEC 27003

implementar un SGSI, y proporciona orientación sobre como planificar el proyecto de SGSI, lo que resulta en un plan de ejecución final del proyecto SGSI. (ISO/IEC-27003, 2010).

Básicamente es una guía de la implementación del SGSI y de la información acerca del uso del modelo PDCA.

5. ISO/IEC 27004

La norma internacional ISO/IEC 27004 proporciona orientación sobre el desarrollo y

usos de las medidas y la medición a fin de evaluar la eficacia de un SGSI y los controles

o grupos de controles, tal como se especifica en la norma ISO/IEC 27001. Esto incluiría

la política, la gestión de información de riesgos de seguridad, objetivos de control,

controles, procesos y procedimientos, y apoyar el proceso de su revisión, lo que ayuda

a determinar si alguno de los procesos o los controles del SGSI debe ser cambiado o

mejorado. Hay que tener en cuenta que ninguna medida de control puede garantizar

una seguridad total. La aplicación de este enfoque constituye un Programa de

Medición de seguridad de la Información.

6. ISO/IEC 27005

La norma ISO/IEC 27005 es una guía para la gestión de riesgos de seguridad de la

información, de acuerdo con los principios ya definidos en otras normas de la serie

27000. Sustituye (y actualiza) las partes 3 y 4 de la norma ISO/ IEC TR 13335

(Técnicas para la gestión de la seguridad IT y Selección de salvaguardas,

respectivamente) y se convierte en la guía principal para el desarrollo de las

actividades de análisis y tratamiento de riesgos en el contexto de un SGSI.

(ISO/IEC-27006, 2007)

Para un mejor entendimiento de esta norma es necesario conocer las normas ISO/IEC 27001 y la norma ISO/IEC 27002.

7. ISO/IEC 27006

El ISO/IEC 27006 es una norma internacional que especifica los requisitos y proporciona orientación para organismos que presten servicios de auditoría y certificación de un sistema de gestión de seguridad (SGSI), además de los requisitos que figuran dentro de la ISO / IEC 17021 e ISO / IEC 27001. (ISO/IEC-27007, 2008)

8. ISO/IEC 27007

ISO/IEC 27007:2011 es un estándar internacional que proporciona orientación sobre la gestión de un programa de auditoría de un SGSI, sobre la realización de las auditorías, y en la capacidad de los auditores, además de las orientaciones contenidas en la norma ISO/ IEC 19001. (Hernandez, 2012)

Esta norma internacional es aplicable a aquellos que necesitan comprender o realizar auditorías internas o externas de un SGSI o para administrar un programa de auditoría de SGSI.

9. ISO/IEC 27008

El ISO/IEC TR 27008 es un informe técnico que proporciona una guía en la revisión de la implementación y operación de los controles, incluyendo la comprobación de la conformidad técnica de los controles de los sistemas de información, en conformidad con los estándares de seguridad de información establecidos en una organización. (ISO27000, 2012)

Este informe técnico se puede aplicar a organizaciones de todo tipo y tamaño, ya sean empresas públicas o privadas, entidades gubernamentales y organizaciones sin fines de lucro.

Pero también deben tenerse en cuenta otros estándares y recomendaciones que son específicas del sector. Incluso puede existir la necesidad de alinear más de un estándar, como por ejemplo ITIL (Isaca, Information Systems Audit and Control Association, 2012) (ITIL, 2009) con la familia ISO/IEC 27.000, o de esta última con la ISO 9001, por citar otro ejemplo.

Ilustración 6 Contexto Normativo de un SGSI

Un SGSI, como sistema de gestión de una disciplina específica como lo es la seguridad de la información, debe relacionarse con otros sistemas de gestión, por ejemplo, de Gestión de Calidad entre otros. Es así que también deben considerarse en el contexto, estos otros sistemas y los respectivos estándares metodológicos en los que se apoyan.

6.

Estado del Arte.

brindar modelos que permitan un desarrollo serio del Sistema de seguridad de la información, entregando a las empresas la oportunidad de adoptarlos y así proteger los activos de información. Es así como este capítulo describe estos temas, que guardan relación con la seguridad de información y este trabajo de tesis.

6.1. Metodologías.

•

COBIT 5

Cobit (Control Objectives for Information and related Technology ó Objetivos de Control para Información y Tecnologías Relacionadas), es comúnmente denominado como un marco de trabajo de Gobierno TI, que permite cubrir la brecha entre los requerimientos de control, los aspectos técnicos y los riesgos del negocio. Este marco de trabajo describe como los procesos TI entregan la información que el negocio necesita para lograr sus objetivos. (Isaca, Cobit 5)

Dicho en pocas palabras, Cobit ayuda a las organizaciones a crear un valor óptimo a partir de las TI, al mantener un equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y utilización de los recursos. Además, permite que las tecnologías de información se gobiernen y administren de una manera holística a nivel de toda la organización, incluyendo el alcance completo de todas las áreas de responsabilidad funcionales y de negocio, considerandos los intereses relacionados con las TI de las partes interesadas internas y externas.

Ilustración 7 Principios de COBIT 5 - Isaca 2012

Ilustración 8 Habilitadores de COBIT 5

prioridades y tomar decisiones, monitoreando el desempeño, cumplimiento y progreso. Por otra parte, la Administración permite planificar, construir, ejecutar y monitorear las actividades conforme a las directivas fijadas por el Gobierno para lograr objetivos. Es así como COBIT 5Basado en una serie holística de siete habilitadores, que optimizan la inversión en tecnologías e información, así como su uso en beneficio de las partes interesadas.

•

ITIL

ITIL (IT Infrastructure Library, biblioteca de infraestructura de TI) = Marco de referencia que describe un conjunto de mejores prácticas y recomendaciones para la administración de servicios de TI, con un enfoque de administración de procesos. (Axelos, 2016).

Desde sus inicios ITIL fue puesta a disposición del público en forma de un conjunto de libros, de ahí su nombre, para que las organizaciones de todo el mundo pudieran adoptarlo. La primera versión consistía de 10 libros principales que cubrían dos grandes temas: “Soporte al servicio” y “Entrega del servicio”, amén de una serie de libros complementarios que cubrían temas tan disímbolos como la administración de la continuidad o cuestiones relacionadas con cableado. Posteriormente, en 2001 se hizo una reestructura importante que reunió los 19 libros principales en sólo 2, mientras que otros temas siguieron en libros separados, dando así un total de 7 libros para la segunda versión de ITIL:

• Soporte al servicio (1). Entrega del servicio (2).

• Administración de la seguridad (3).

• Administración de la infraestructura ICT (4).

• Administración de las aplicaciones (5).

• La perspectiva del negocio (6).

• Planeación para implantar la administración de servicios (7).